Taller Plataforma Avanzada Malware

Transcripción

1 La defensa del patrimonio tecnológico frente a los ciberataques 10 y 11 de diciembre de 2014 Taller Plataforma Avanzada Malware (MISP-MARTA-MARIA) 2014 Centro Criptológico Nacional C/Argentona 20, MADRID

2 Fernando Muñoz Innotec System Myriam Sánchez Innotec System 2

3 Índice 1. Situación actual ciberamenazas 2. Plataforma avanzada de Malware 3. MARTA 4. MISP 5. MARIA 3

4 1 Situación actual ciberamenazas 4

5 Situación actual El panorama actual de la Seguridad, así como la tipología de amenazas a las que se tienen que enfrentar las organizaciones, ha sufrido grandes e importantes cambios durante estos últimos años. Si antiguamente la creación de código malicioso se debía principalmente a la búsqueda de notoriedad, la realidad actual ha cambiado radicalmente. Hoy día se crea malware con fines criminales y lucrativos que van desde el fraude económico al robo de información, pasando por el ciberespionaje gubernamental e industrial.

6 Situación actual Nos enfrentamos a nuevas características del malware que dificultan en gran medida su detección y su desinfección. Erradicar una amenaza persistente en una organización puede suponer un gran esfuerzo y un alto coste. Alguna de las características avanzas que tiene el malware son: Polimorfismo Múltiples 0-day para explotar Código cifrado/ofuscado Técnicas anti-máquina virtual Técnicas anti-debuging Comunicaciones con C&C a través de sitios legítimos

7 Ejemplo Nueva ciberarma Regin Regin concebida como una ciberarma, se publicó a finales de nov. 2014: Activa al menos 6 años Vigilancia y robo información a gobiernos, operadores de infraestructuras, empresas, etc, a nivel internacional. Desarrollo a través de fases de ejecución Configurable y adaptable al objetivo. Oculto y cifrado VIII JORNADAS STIC CCN-CERT Mas información:

8 1 Plataforma Avanzada de Malware 8

9 Descripción Es necesaria la combinación de varias herramientas para cubrir las necesidades existentes para analizar las distintas muestras de malware que entran en la organización. Esta plataforma está compuesta por: Herramienta de análisis dinámico de malware (MARTA) Herramienta de detección de multi-antivirus (MARIA) Herramienta de recogida y compartición de información (MISP)

10 Entorno Inteligencia

11 2 MARTA 11

12 Descripción MARTA MARTA es una herramienta que permite la detección, el análisis y el reporte de malware de manera totalmente automática y cuyas principales características son: Detección Temprana Análisis Estático Análisis Dinámico Generación de Informes Personalizados Envío de Alertas y Avisos Almacenamiento de Evidencias para Post-Análisis Gestión inteligente de los análisis

13 Funcionalidad MARTA es una herramienta que permite el análisis estático y dinámico (ejecución en sandbox) de muestras de malware. Tiene dos funcionalidades diferenciadas: Por un lado es capaz de recoger muestras de manera automática in the wild a través de los distintos colectores programados y generar un informe específico de las muestras. Por otro lado se pueden subir muestras a demanda para hacer análisis más concretos y dirigidos. Su motor inteligente analiza y clasifica las amenazas, permitiendo su categorización y agrupación de manera sencilla y flexible, y elabora informes en detalle de las mismas. MARTA almacena la información obtenida de los análisis permitiendo así búsquedas en profundidad sobre las muestras analizadas garantizando un perfecto conocimiento y control de las amenazas.

14 Arquitectura MARTA ANÁLISIS ANTIVIRUS Fuentes Públicas Sonda Sede B INTERNET ANÁLISIS ESTÁTICO Master Controller BBDD ANÁLISIS DINÁMICO SandBoxes ALMACENAMIENTO EVIDENCIAS MARIA ENVÍO MUESTR A Administración WEB SFTP Sonda 1 Sede A INFORMES Y GESTIÓN MISP MISP

15 Fuentes automáticas MARTA detecta y recolecta automáticamente muestras de malware desde fuentes públicas o privadas. Actualmente están configuradas las siguientes Zeus Tracker CyberCryme Malware Malekal Malc0de Sophos Virus Total Permite la activación y configuración de cada una de las fuentes, así como el informe asociado.

16 Monitorización del estado del sistema Se tiene un control global de cada uno de los componentes de MARTA a través de su panel de monitorización. Actualmente se monitoriza: Estado del sistema de análisis Análisis completados Análisis reportados Análisis en ejecución Análisis programados Máquinas disponibles para análisis

17 Inteligencia MARTA se adapta a la muestra de malware a analizar: Análisis periódicos para la detección de malware con actividad variable. Adaptación de la sandbox en función de los criterios del análisis estático (VM, conexión a Internet, tiempo de ejecución, etcétera). Agrupación de malware por características y etiquetas. Sistemas configurados para evitar la detección de los análisis, su entorno, la virtualización, herramientas, etcétera.

18 Paneles principales Para realizar análisis más dirigidos, MARTA presenta un portal web muy intuitivo. La pantalla principal se divide en tres pestañas principales: Binarios: Listado de las muestras subidas al sistema bajo demanda Análisis: Listado de los análisis realizados en la herramienta. Búsqueda avanzada: Permite búsquedas de campos clave. Configuración: Permite realizar configuraciones específicas de la herramienta (usuarios, roles, fuentes automáticas, etiquetas, etc)

19 Características generales de análisis MARTA permite el análisis estático y/o dinámico de distintas muestras sospechosas de ser código dañino. Los tipos de ficheros que actualmente soporta el sistema son: Binarios de 32bits Binarios de 64bits Ficheros PDF Ficheros Ofimáticos El sistema tiene la capacidad de detectar la tipología de fichero que se incorpora al análisis y detectar si es posible realizarle análisis dinámico

20 Características generales de análisis VIII JORNADAS STIC CCN-CERT Análisis de binarios. Las características configurables para el análisis de las muestras son las siguientes: Establecer prioridad de análisis Marcar tiempo de espera de análisis Seleccionar tipo de salida a internet: A través de la red TOR Simulando Internet Habilitar información de Triana. Selección de una o varias máquinas para realizar el análisis Análisis sin privilegios Simulación interacción humana Envío de correo una vez finalizado

21 Máquinas Virtuales Disponibles VIII JORNADAS STIC CCN-CERT Actualmente está disponible el siguiente listado de máquinas: Windows XP (32bits) Windows 7 (32 y 64 bits) Windows 8 (32 y 64 bits) A 31 de Diciembre de 2014 Windows Server 2003 Windows Server 2008 Primer trimestre del 2015 Linux Android (hasta Lollipop) Mac OS X

22 Re-análisis y programación El sistema permite que podamos realizar un re-análisis de las muestras: De manera inmediata. De manera programada. Muy útil para programar análisis en horas concretas del día. Además se permite Descarga de informes (PDF y DOC) Informe general Informe general + Información de Triana Descarga de los binarios

23 Información Análisis En esta pestaña se gestionan los distintos análisis realizados. En la ventana de detalles se muestra la información concreta del análisis. Datos generales del fichero y del análisis y configuración que se programó al análisis

24 Descarga de evidencias Evidencias recogidas del análisis. Hay que destacar: Reglas de snort generadas basadas en la detección Fichero pcap interceptado de la comunicación con internet (simulado o por Tor) Fichero de strings detectados en la muestra. Fichero de log asociado al análisis

25 Cambios en Ficheros MARTA registra los ficheros que se han creado / modificado / eliminado en el sistema por parte de la muestra analizada:

26 Cambios del registro MARTA registra además los cambios producidos en el registro del sistema con los valores finales

27 Actividad de procesos Se muestran los procesos que se han ejecutado en el sistema con su identificación y valor

28 Tráfico de red detectado Dominos e IPs que se han registrado durante la actividad de la muestra en el análisis dinámico. Información de cabeceras HTTP detectadas

29 Etiquetas asociadas al análisis El análisis puede tener etiquetas asignadas manualmente o a través de la ejecución de las reglas: Etiquetas manuales Etiqueta asignada automáticamente, basado en reglas

30 Análisis de PDF La información que se recoge corresponde específicamente a ficheros PDF. Versión de PDF Scripts embebidos Objetos sospechosos Fecha de creación Fecha de modificación

31 Búsqueda Avanzada Búsqueda incluyendo múltiples criterios sobre los análisis para obtener los binarios que coinciden.

32 Características especiales Y ahora nos preguntamos: Qué funcionalidad tiene MARTA más allá de el resto de herramientas del mercado? 1º. Se aplican los nuevos métodos investigados en análisis de malware 2º. Utilización de etiquetas 3º Motor de reglas (IoCs)

33 Etiquetas Una de las funcionalidades más importantes que tiene el sistema es la posibilidad de definir Etiquetas y aplicarlas a análisis o binarios. Con ellas podemos definir: Agrupar campañas de malware específicos (por ejemplo: Dragonfly) Definir comportamientos concretos de las muestras ( por ejemplo: persistencia) Definir grupos de análisis (por ejemplo: fechas o países) Definir alertas que ayuden a los analistas (por ejemplo: A Revisar) Elaborar itinerarios de formación para los analistas. Etc. Este sistema es muy flexible a la hora de clasificar cualquier tipo de información relacionado con el trabajo diario del analista. La gestión de etiquetas (creación, modificación y asociación) puede realizarse desde cualquier parte de la aplicación en la que se encuentren visibles binarios o análisis.

34 Etiquetas El sistema de etiquetas permite la creación de las mismas en el mismo entorno, facilitando la asignación momentánea de la misma cuando es necesaria.

35 Etiquetas El panel también permite el filtrado de los análisis o binarios que tenga la etiqueta asociada. Por último se pueden asignar etiquetas a Reglas o IoC registrados en el sistema. Esto nos permite poder clasificarlos de una manera muy visual. Además cada vez que el análisis de un binario detecte y genere un IoC con un comportamiento etiquetado anteriormente, dicho análisis se etiquetará de manera automática. Este sistema también funciona a la inversa. Si se genera una etiqueta asociada a un IoC o comportamiento concreto, se aplicará esta etiqueta a los análisis que tengan la misma coincidencia.

36 Motor de Reglas (IoCs) El motor de reglas examina el resultado de los análisis de los binarios lo evalúa comparando con reglas definidas en la herramienta. Estas reglas (basadas en OpenIOC) se pueden crear basadas en términos tales como (y no únicamente): Valores de claves de registro. Parámetros de los procesos. Conexiones de red. Valores de análisis estático. Permite los operadores lógicos AND y OR Permite la creación de reglas a partir de otras reglas. Condiciones: Contains Contains not Is Is not

37 Motor de Reglas (IoCs) El motor de reglas permite la activación/desactivación de reglas con el objetivo crear reglas de prueba o aprendizaje que no sea necesario ejecutar tras los análisis. Adicionalmente, se puede añadir etiquetas a las reglas que se añadirán automáticamente al análisis del binario en caso de que la regla coincida con los datos del mismo.

38 Motor de Reglas (IoCs) La creación de reglas puede ser tanto manual como importando un fichero XML en formato OpenIOC. En la visualización de las reglas ejecutadas sobre un análisis puede observarse las reglas que han coincidido con algún parámetro del análisis.

39 DEMO VIII JORNADAS STIC CCN-CERT

40 3 MISP Malware Information Sharing Platform 40

41 MISP - Definición Dentro del marco de la compartición de información están apareciendo algunas herramientas que nos permiten realizarlo de una manera sencilla y flexible. Una de ellas es MISP, Plataforma para la compartición de información sobre malware. MISP es una plataforma para compartir, almacenar y correlación indicadores de compromiso (IoC) de ataques o muestras de malware. Herramienta de código abierto, en desarrollo por un grupo de desarrolladores, principalmente el CERT belga (CERT.be) y la OTAN (nato.int)

42 MISP Permite la compartición de información relacionada con el malware y sus indicadores de compromiso (características). Permite el despliegue en distintas instancias y la interconexión de las mismas, dentro de una misma organización o con otras organizaciones. Permite la clasificación de información para compartir (public, private). Permite la sincronización de diferentes instancias Importación y exportación de información en distintos formatos

43 Pantalla principal Organización de la información en Eventos

44 MISP Información compartida Información sobre malware para compartir. Se pueden ir añadiendo atributos según la información que se tenga. En MISP existen 4 opciones para compartir información: Organización Esta comunidad Comunidades conectadas Todas las comunidades

45 Integración MISP Características de importación/exportación de información en distintos formatos: Desarrollo de plug-ins que permiten integración con otras herramientas (ej: misp-maltego)

46 MISP -> MARTA MARTA tiene la capacidad de exportar las características desarrolladas por una muestra de malware en su ejecución a un fichero XML, con dos variantes: MISP - XML OpenIoC De esta manera, cualquier análisis realizado en MARTA, automáticamente se almacena dicha información en MISP. Esto nos permite gestionar la información en un punto único y compartir lo que se considere.

47 4 MARIA La evolución del Multi-antivirus 47

48 MARIA: MultiAntiviRus IntegrAdo Evolución de la plataforma MultiAntiVirus para análisis estático de código dañino. Desarrollo propio completo. API para integración con otros servicios CCN-CERT (MARTA, MISP) Posibilidad de análisis privados y aislados de Internet necesario para la investigación de APT. Información detallada de ficheros analizados (metadatos de binarios, checksums, datos EXIF en imágenes, etc) Arquitectura escalable, con colas para análisis en paralelo de los motores de antivirus sin bloqueos. En proceso de incorporación de más de 30 antivirus y antimalware

49 PROTOCOLO SALT STACK VIII JORNADAS STIC CCN-CERT Portal CCN-CERT MARIA GUI HTTPS SISTEMAS CCN-CERT MARTA MISP LUCIA

50 Subida de ficheros Historial personal de análisis por usuario Información de estado del sistema Información de tipo de fichero, metadatos, md5 Resultados dinámicos de análisis a medida que se obtienen Indicador gráfico de peligrosidad

51 Lista de antivirus y antimalwares disponbiles Estado de funcionamiento Fecha de actualización de firmas por antivirus Historial de Análisis Resultados y nombre de especimen

52 Mejoras de evolución futuras Integración vía API con otros sistemas del CCN-CERT Análisis de URL/IP Análisis de URL contra listas negras Comprobación MD5/SHA contra BBDD de ficheros legítimos aportaciones de los organismos

53 s Websites Síguenos en Linked in